Análisis 





“El coronavirus en Colombia”, 
portal que incluye la versión 
web de coronapp_colombia 
(coronaviruscolombia.gov.co) 






Este informe se basa en investigaciones que se hicieron en febrero del 2021 y que se 
volvieron a verificar en mayo 2021. Intentamos varias veces comunicarnos a traves del 
MIinTIC con la Presidencia, que aparece como encargada del sitio, pero no obtuvimos la 
reunión propuesta. Teniendo en cuenta que las vulnerabilidades no son severas y que de 
hecho las malas prácticas reportadas han sido previamente alertadas por el MinTIC en su 
documento sobre “Condiciones minimas tecnicas y de seguridad digital”, decidimos 
publicar este análisis. 


Contempla un análisis jurídico de la política de privacidad del sitio (parte 1) y un análisis 
técnico y no intrusivo de los formularios webs. Los resultados se presentan a traves de dos 
tablas (partes 2 y 3 y anexos). 
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Fundación 


Karisma 


Este material circula bajo una licencia Creative Commons CC BY-SA 
4.0. Usted puede remezclar, retocar y crear a partir de obra, incluso 
con fines comerciales, siempre y cuando dé crédito al autor y licencie 
las nuevas creaciones bajo mismas condiciones. 

Para ver una copia de esta licencia visite: 


https: //creativecommons.ore/licenses/bv-sa/4.0/deed.es 
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1. Contexto y politica de tratamiento de la información 
1.1 Contexto 


El sitio web “coronaviruscolombia.gov.co” es un portal del gobierno colombiano que ofrece información 
y acceso a algunos servicios relacionados con el coronavirus en el país. El portal incluye, entre otros, la 
versión web de la aplicación CoronApp Colombia que Fundación Karisma ya ha analizado en varias de 
sus versiones! y un formulario de autodiagnóstico. Coronapp Colombia se hizo “disponible para web” 
para el que “tiene un número internacional o un celular antiguo”, de forma tal que pueda “obtener [su] 
código QR de viajero” como lo menciona el mismo sitio web?. Las finalidades expresadas en la política 
de privacidad del portal son las siguientes: 


“La PRESIDENCIA DE LA REPÚBLICA recolectará, usará y tratará los datos personales de manera 
leal y lícita para para obtener información estadistica, análisis de política pública, para poder 
emitir una respuesta por parte del Mecanismo de Comunicación Masiva, el despliegue de medidas 
de prevención y contención frente al COVID-19, especificamente para presentar recomendaciones 
a signos de alarma de afección respiratoria y riesgos en salud pública asociados al coronavirus 
COVID-19 y crear y mantener la base de datos de los usuarios del Mecanismo de Comunicación 
Masiva.”? 


El sitio web contiene: 


1 Información vinculada con el Covid-19: Acciones del Gobierno, Mitos y preguntas, Enlaces de 
interés, Lineas de atención, cifras, etc. 


2 Una pagina de registro y de conexión a CoronApp Colombia en su versión web”. 


3 Una página con un formulario de autodiagnóstico, que no necesita estar conectado a CoronApp 
Colombia ni ingresar datos personales que identifiquen a la persona directamente”. 


4 Un menú “Denuncia virtual” que re-dirige hacia la página de denuncia virtual de la Policia Na- 
cional. 


Esta última pagina, por ser un sitio externo, no hace parte de este análisis que se enfoca en los formularios 
de autodiagnóstico, de registro, de conexión y en las funcionalidades de la versión web de la CoronApp. 
Sin embargo nos preguntamos sobre la finalidad de este enlace en este contexto. 


1 Fundación Karisma ha realizado varios análisis y publicado varios artículos sobre CoronApp Colombia. Dentro de ellos se pueden 
mencionar el primer análisis técnico (https://web.karisma.org.co/wp-content/u load 2020/04/Informe- 2C3%Bablico- t%C3%A9CNicO- 
CoronApp-v170320-1-1.pdf), el análisis de la evolución de los permisos ( : 

cuando- bajara- esta-curva/) y el análisis de la versión de la aplicación para teléfonos ¡iPhone (https: //web.karisma.org.co/coronapp-en- 
1d . 








https: //coronaviruscolombia.gov.co/Covid19/coronApp/registro- coronA html 

Como por ejemplo, nombre, cédula o correo electrónico. 

pS a cr do Denunciavirtual. Alhacerclicenel,unoesdirigidoalsistemadedenunciavirtualdelapolicianacional 
h 
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1.2 Política de privacidad / tratamiento de la información 


La Presidencia de la República aparece, en la política de tratamiento de datos de El Coronavirus en Co- 
lombia” como responsable de tratamiento de datos. Sin embargo, cuando uno se registra para CoronApp 
Colombia web, el sitio pide aceptar la política de tratamiento de datos de CoronApp ubicada en el sitio 
web del Instituto Nacional de Salud (INS) (al día de la publicación de este informe este enlace ya no fun- 
cionaé) y unos Términos y Condiciones en los cuales el INS aparece como responsable de tratamiento. La 
política de tratamiento de datos de El Coronavirus en Colombia está confeccionada a partir de fórmulas 
generales e incluso contradictorias. La Presidencia de la República como responsable del tratamiento de 
datos, cumple con el deber legal asociado a su publicación en tanto que recaba datos que identifican o 
hacen identificables a las personas. Sin embargo, no se trata de una política que aclare varios de los as- 
pectos sobre los que sería deseable tener claridad. Además parece que la parte de “CoronApp web” com- 
pite con la política de tratamiento de la información y los terminos y condiciones de CoronApp_Colombia 
sin aclaración que permita entender cuando se aplica la una o la otra sobre el suministro de los datos a 
terceras partes. 


No se advierte en la redacción de la política de privacidad los criterios (requisitos o situaciones) que son 
considerados por el responsable del tratamiento de la información y que habilitarian para el suministro 
o acceso de los datos personales por parte de terceros. No advierte limitaciones para su entrega a 
ciertas entidades públicas o entidades privadas. La fórmula para permitir acceso a entidades del sector 
público apunta, sin mayor contexto ni desarrollo, a la habilitación de toda autoridad que “en el ejercicio 
de sus funciones asi lo requieran”. 


No se precisan, ni se advierten los requisitos exigibles por parte de la Presidencia de la República a esos 
terceros para asegurar que aquellos cuentan a su vez, con políticas de tratamiento de datos que sean 
públicas, integrales, y que provean mecanismos de reclamo a las personas cuya información pueden 
llegar a tener en sus manos. 


Sobre la transferencia y transmisión internacional de datos personales 


Esta sección de la política de tratamiento de datos advierte que la Presidencia de la República deberá 
suscribir contratos con terceros cuando necesite enviar o transmitir datos “a uno o varios encargados 
ubicados fuera del territorio de la República de Colombia”. Sin embargo, no se advierte, en un 
proceso de contextualización de esa formula genérica consagrada en la política de tratamiento de 
datos que, en efecto, el sistema transfiere datos a terceras partes de carácter privado fuera del país 
tales como Amplitude, Amazon, Google o CloudFlare, ubicadas en Estados Unidos (ver partes 2 y 3). 


Recomendación: Sería conveniente que se describiera que el tratamiento de datos en El Coronavirus en 
Colombia actualmente incluye esa transferencia internacional, que debe constar en acuerdos que son 
anexos a la política y, por tanto, deberian ser públicos también. 





ds 10 Ver sección “transferencia y transmisión internacional de datos personales”. 


<K+LADB> 


SEGURIDAD DIGITAL Y PRIVACIDAD 





Sobre terceros que obran como “encargados” del tratamiento de datos 


Utilizando fórmulas genéricas que no dan contexto concreto a El Coronavirus en Colombia, la Presidencia 
de la República contempla la posibilidad de que el tratamiento de datos pueda ocurrir a través de una 
tercera parte en el rol de “encargada del tratamiento”. Sin embargo, no se describen quiénes pueden ser 
esas partes que obrarian como encargadas, cuáles son los propósitos que cumplirian en la cadena de 
intermediación del tratamiento de los datos, cuáles los deberes que tendrían esas partes a cargo, y qué 
derechos tiene la persona titular del dato en relación con éstas. 


Del analisis realizado, parece que el Instituto Nacional de Salud y la Agencia Nacional Digital obran como 
encargados para Coronapp web (ver parte 3) y que la empresa “Idoc3” obra como encargada para la 
funcionalidad de autodiagnóstico (ver parte 2), 


Recomendación: La política de protección de datos debe ocuparse de estos terceros que desde el diseño 
de la aplicación parecen ser los “encargados” del tratamiento de datos y en ese contexto, los contratos 
deberían ser parte de esta política y hacerse públicos para conocimiento de las personas cuyos datos 
serán tratados por las empresas. 


Sobre la obligatoriedad en el uso de CoronApp web 


La política de tratamiento de datos es contradictoria al afirmar que la entrega de datos sensibles asociados 
a la salud de las personas - que la Ley 1581 de 2012 considera como sensibles - no es obligatoria”, al 
tiempo que reitera que el principio de libertad que sustenta el ejercicio de la autonomía de la voluntad 
y que faculta a la persona a la entrega o no de los datos personales y, sin embargo, agrega que esto “no 
aplica en el caso de la CoronApp Colombia por mandato del artículo 10 de la ley 1581 de 2012”. 


Muy a pesar del debate que pueda existir en torno a la aplicación conveniente del texto del artículo 10 de 
la Ley 1581 de 2012 y que ha sido también objeto de discusión en relación con la política de tratamiento 
de datos de la aplicación móvil de CoronApp, es importante poner de presente que a dicha obligación 
que busca limitar el ejercicio del derecho fundamental al habeas data, no se encuentra aparejado un 
ejercicio que presente al titular del dato las razones por las que, de manera proporcional y necesaria, su 
consentimiento no cuenta a la hora de usar CoronApp web. 


Recomendación: Si se va a aplicar el artículo 10 de la Ley 1581 de 2012 se debe describir la justificación 
en la política de tratamiento de datos de manera clara en tanto que no existe mandato legal que obligue 
al uso de este tipo de tecnologías o herramientas. 


Sobre la anonimización de los datos 


Se preve por la política que, una vez recolectados los datos “por regla general se utilizarán herramientas de 
anonimizarían (sic) para que no esté asociada o vinculada a una persona en particular”. Y advierte además, 
que dicha regla general de anonimización podrá ser exceptuada “cuando [sea] rigurosamente necesario 
conocer la identidad del titular del dato”. En la política de tratamiento de información de CoronApp_web 


11 Ver sección “de la no obligatoriedad de suministrar datos sensibles relativos a la salud y de la responsabilidad reforzada”. 
12 Ver sección “principios relacionados con la recolección de datos personales”. 
13 Ver sección “datos anonimizados”. 5 
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hay una formulación similar”. 


Además, los analisis que hemos hecho muestran que al menos los datos de la parte “conectada” de 
Coronapp Web, siendo asociada a los datos de registro (nombre, apellidos, tipo y número de documento, 
número de celular, correo electrónico), no son anónimos. Es decir, ya desde el inicio la regla se rompe con- 
firmando que la ausencia de los criterios mencionados disminuyen la protección de manera injustificada. 


Recomendación: Se deben describir los criterios del “rigurosamente necesario” que puede derivar en la 
desanonimización de los datos personales e indicar en esos casos cómo se protegen o mitigan los efec- 
tos nocivos para los derechos de las personas usuarias. Se debe revisar por qué la propia recolección de 
datos está haciéndose de forma desanonimizada e implementar los correctivos necesarios. 


Sobre el acceso a la localización 


Cuando uno llega en sitio web, el navegador pide el permiso para que el sitio pueda acceder a la ubicación: 


$ ¿Va a permitir a coronaviruscolombia.gov.co 
“acceder a su ubicación? 
nal 


Saber más 





Recordar esta decisión 


No permitir Permitir acceso a ubicación 





Sin embargo, la política de privacidad del portal no menciona la finalidad de este acceso. 
Recomendación: informar al usuario de la finalidad del acceso a la ubicación 


Sobre la seguridad de la información 

La política de tratamiento señala que cuenta con una política de seguridad y cita el enlace a la política 
de tratamiento de datos. Es decir, se cita a sí misma y en su texto, en todo caso, no desarrolla las accio- 
nes de mitigación de fuga de datos que serian emprendidas cuando sucedan brechas de seguridad de 
la información. 

Recomendación: Siguiendo buenas prácticas internacionales se debería establecer que las perso- 
nas serán notificadas cuando la seguridad de sus datos sea comprometida. Se deberian describir 
las acciones que se emprenderán por la parte responsable del tratamiento incluyendo el cumpli- 
miento de las obligaciones de cara a la autoridad de protección de datos. Se debe informar sobre 
quién se encarga de revisar, evaluar y mejorar15 las condiciones de seguridad de la información que 
se recolecta a traves de El Coronavirus en Colombia y para sus componentes como CoronApp web. 


14 Ver paginas 8 y 9 de la política, parte “Datos anonimizados”. 
6 15 Ver sección “medidas de seguridad aplicadas al tratamiento de datos personales”. 
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2 Tabla sintética del formulario de autodiagnóstico 


Categoría Descripción 
URL https: //coronaviruscolombia.gov.co/Covid19/auto-diagnostico.html 


Datos recolectados Esta página permite hacer un auto-diagnóstico de riesgos de haber contraido el COVID-19. 
El formulario no necesita entregar datos personales que identifiquen directamente a la 
persona usuaria (cómo nombre, cédula, etc.). Sin embargo se recolectan datos sensibles 
relativos a los sintomas susceptibles de indicar una infección con COVID-19 y a los contac- 
tos eventuales de la persona con otras infectadas, y el analisis mostró que estos datos se 
transmiten asociados a varios identificadores de la persona usuaria [Anexo 11. 


El servidor web principal tenía en nuestro primer análisis la dirección IP 170.246.114.222 
que pertenece a la empresa colombiana Media Commerce Partners S.A. ubicada en Pereira. 
Al día de esta publicación tiene la dirección IP 190.145.219.66 que pertenece a la empresa 
colombiana Telmex Colombia S.A. 

Sin embargo, el analisis nos permite afirmar que los datos personales del formulario no 
son transmitidos a una entidad del estado, ni a estas empresa, sino al dominio “amplitude. 
com” de la empresa Amplitude ubicada en Estados Unidos [Anexo 1]. Este dominio está 
vinculado con la empresa 1Doc3, también presente en la página. Amplitude contrató un 
servicio de hosting a Amazon Technologies, en Estados Unidos [Anexo 21. 

Ninguno de estas empresas (Media Commerce Partners, Telmex, 1Doc3, Amplitude y 
Amazon technologies) que participan o han participado en el tratamiento de los datos se 
mencionan en la política de privacidad. 

Recomendación: Cómo se explicó en la parte 1, la política de protección de datos debe 
reconocer este modelo de flujo de los datos personales puesto que indica que es una de 
estas empresas la encargada de tratamiento de datos y estas sub-contrataciones implican 
transferencia de datos personales a Estados Unidos lo que de acuerdo con la política 
tiene condiciones preestablecidas, aunque -cómo se explicó en la parte 1- éstas están 
pobremente descritas en las políticas de privacidad. 


Cifrado y autenticación El portal usa de forma predeterminada el protocolo seguro HTTPS (HTTP+TLS) con un certi- 
ficado de la empresa Go Daddy Inc. 


Envío de los datos de Los datos de autodiagnóstico transmitidos por los formularios se envían con el protocolo 

autodiagnóstico HTTPS y el método POST. Se transmiten únicamente a la URL “https://api.amplitude.com/”, 
esta misma es llamada por el dominio “1doc3.com”. Esto se debe a que todo el cuestiona- 
rio de auto-diagnóstico es un elemento HTML externo al sitio original (iframe HTML) con 
dominio “1doc3.com”. Por lo cual pensamos que el encargado de tratamiento de los datos 
recolectados por este formulario es la empresa 1doc3, y que fue ésta última la que contrató 
con la empresa Amplitude que es la que recibe los datos a través de su dominio “amplitude. 
com”. [Ver Anexos 1 y 2] 
Recomendación: igual que para la parte Hosting y en línea con lo descrito en la parte 1 de 
este informe. 


Tecnologías usadas y El servidor web es un servidor con Microsoft Sharepoint con el framework Bootstrap [ver 

actualizaciones Anexo 3]. El análisis de las cookies internas muestra que muy probablemente se usa un 
balance de carga de tipo “F5 BIG-IP ASM” versión 11.4.0 o posterior [Ver Anexos 4 y 71. 
Recomendación: Es importante asegurarse de la actualización del servidor web y de todos 
sus componentes. 
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Protecciones adicionales Recomendación: Se recomienda implementar protecciones adicionales, siguiendo 
los lineamientos de seguridad digital del MinTIC para los sitios web”, en particular las 
siguientes, ya que nuestro análisis mostró que no estan implementadas: 

Cookies: habilitar los atributos de seguridad Secure y HttpOnly, en particular para la 
cookie “TSO1bee912” que parece tener funcionalidades de seguridad vinculadas con el 
balance de carga; 

habilitar las cabeceras de seguridad”. 


Rastreo y cookies de terceros | En la página de auto-diagnóstico, además de las cookies internas, se instalan varias coo- 
kies asociadas a los dominios: 1doc3.com, facebook.com y al servicio Google Analytics. La 
cookie de Facebook esta originada por el dominio “1doc3.com”. 

También se puede mencionar un hecho extraño probablemente debido a un error técnico: 
se instalaban varias cookies internas vacias (problema técnico que parece haber sido re- 
suelto). Finalmente, el elemento HTML del dominio “1doc3.com” (iframe) también genera 
solicitudes con transmisiones de identificadores hacia la sucursal publicitaria de Google, a 
través de su dominio “doubleclick.net” [ver Anexo 41. 

Recomendación: es importante evaluar la consecuencia de que se instalen cookies a las 
personas usuarias del sitio sobre todo en términos de rastreo publicitario. El Coronavirus 
en Colombia es un sitio del Estado que recoge información sensible y que parece tuvo cui- 
dado de no crear espacios para la instalación de cookies de terceros, sin embargo, debido 
al uso de la herramienta de la empresa 1doc3 se termina instalando una cookie de Face- 
book. En caso de que esto no pueda evitarse se debería informar a las personas usuarias. 





16 A MiÓA mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 
2020). 
17 Los lineamientos del MinTIC ya mencionados citan las siguientes: Content-Security-Policy (CSP), X-Content- 
Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security (HSTS), Public-Key-Pins (HPKP) 
8 Referrer-Policy, Feature- Policy. 
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3. Tabla sintética de los formularios de CoronApp web (registro, login, 
reporte) 


Categoría Descripción 





URL https://coronaviruscolombia.gov.co/Covid19/coronApp/resistro-coronApp.html 


Datos recolectados Para el registro: nombre, apellidos, tipo y número de documento, número de celular, 
correo electrónico, contraseña. 
Para el reporte: tipo de síntomas, otros riesgos (contactos, viajes, trabajadores de sa- 
lud), atención médica recibida o no, detalles sobre los síntomas. Incluye por lo tanto 
datos sensibles de salud. 
Para la conexión a CoronApp web: correo electrónico y contraseña. 
Para la obtención del código OR de viaje: fecha del vuelo, tipo de vuelo, aerolínea, 
número de vuelo, número de silla. 

[Ver Anexo 5] 


Isual que en la parte 2, el servidor web principal tenía en nuestro primer analisis la direc- 
ción IP 170.246.114.222 que pertenece a la empresa colombiana Media Commerce Partners 
S.A. ubicada en Pereira. Al día de esta publicación tiene la dirección IP 190.145.219.66 que 
pertenece a la empresa colombiana Telmex Colombia S.A. 

Como en el caso de la aplicación CoronApp que analizamos anteriormente, tanto los da- 
tos personales de los formularios de registro, como los datos de reportes de síntomas 
se envían al dominio “apicovid2.and.gov.co” de la Agencia Nacional Digital. Los servido- 
res web son de Amazon Technologies y están ubicados en Estados Unidos (direcciones IP: 
3.225.120.50, 3.229.237.212 y 52.54.29.154) [Ver Anexo 51. 

Ninguna de estas empresa intermediarias se mencionan en la política de privacidad. 
Recomendación: Cómo se explicó en la parte 1, se debería mencionar en la política de 
protección de datos (tanto en la política general cómo en la política específica de Co- 
ronApp_Colombia) la forma como se ha previsto el tratamiento de los datos que incluye 
terceros que aloja los datos en el exterior. Consideramos que este diseño supone que es 
una de estas empresas la que está encargada del tratamiento de datos y estas sub-con- 
trataciones implican, como ya vimos, transferencia de datos personales a Estados Unidos. 


Cifrado y autenticación El portal usa de forma predeterminada el protocolo seguro HTTPS (HTTP+TLS) con certifica- 
dos validos de la empresa Go Daddy Inc. 


Envío de los datos personales | Los datos transmitidos por los tres formularios (registro, conexión y reporte) se envían 
con el protocolo HTTPS y el método POST. Además se autentica la conexión con un token, 
hacia el servidor “apicovid2.and.gov.co” y los datos sensibles del cuestionario de reporte 
de salud, se envían en una forma codificada o cifrada [Ver Anexo 5]. Se confirma por ende 
que se trabajó para subsanar algunas de las vulnerabilidades que Fundación Karisma había 
identificado en su primer análisis de CoronApp_Colombia. 





Tecnologías usadas El servidor web es un servidor Kestrel que usa el framework Microsoft ASP.NET. El servidor 
y actualizaciones no deja ver, con un análisis pasivo, las versiones de sus componentes, lo que es bueno 
desde la mirada de seguridad digital. El análisis de las cookies internas muestra que muy 
probablemente se usa un balance de carga de tipo “F5 BIG-IP ASM” versión 11.4.0 o poste- 
rior [Ver Anexos 4 y 71. 
Recomendación: Es importante asegurarse de la actualización del servidor web y de todos 
sus componentes. 
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Protecciones adicionales Recomendación: Se recomienda implementar protecciones adicionales, siguiendo los li- 


neamientos de seguridad digital del MinTIC para los sitios web18, en particular las siguien- 
tes, ya que nuestro analisis mostró que no están implementadas: 

Cookies: habilitar atributos de seguridad como Secure y HttpOnly, en particular para la coo- 
kie “TSO1bee912” que parece tener funcionalidades de seguridad vinculadas con el balance 
de carga; 

1. Habilitar las cabeceras de seguridad”. 


Verificación de correo y fuga |Cuando una persona se registra para usar CoronApp_Colombia, recibe un correo de verifi- 
de datos hacia Google y cación donde se le pide hacer clic sobre “Confirmar Correo”. Al hacer clic sobre este botón, 
ProjectileslO se envía un token de verificación y el correo de la persona se transmite en los parámetros 


de la URL (método GET). La consecuencia de esta mala práctica es una fuga del token (que 
afortunadamente sólo funciona una vez) y del correo electrónico hacia los dominios de 
los terceros “google.com” y “countriesnow.space”?” Este efecto, que hemos ya mostrado en 
análisis anteriores de otros sitios del Estado, es una de las razones por las cuales no es 
recomendable transmitir datos sensibles de esta manera. Esta practica está prohibida por 
los lineamientos de seguridad digital del MinTIC para los sitios web?[Ver Anexo 61. 
Recomendación: dejar de transmitir el correo electrónico en parámetros de la URL para 
evitar esta fuga de datos a terceros no autorizados. Evaluar el uso de scripts de terceros 
en la página web de CoronApp_Colombia. 


Rastreo y cookies de tercero |En esta página, se instalan dos cookies de terceros por Google. Esto se deriva del uso del 
servicio Google Recaptcha (“_GRECAPTCHA”) y del dominio “countriesnow.space”. Ambas 
tienen características de cookies de rastreo aunque la segunda tiene finalidades técnicas 
vinculadas con el hosting del servidor web del dominio en CloudFlare [Ver Anexo 71. 

Para la primera, teniendo en cuenta la eficiencia de este servicio en términos de seguridad, 
se puede entender la decisión de implementarlo, a pesar del rastreo generado por su uso. 


18 


19 


20 


21 





Ria mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 
2020). 

Los lineamientos del MinTIC ya mencionados citan las siguientes: Content-Security-Policy (CSP), X-Content- 
Type-Options, X-Frame-Options, X-XSS-Protection, Strict- Transport-Security (HSTS), Public-Key-Pins (HPKP) Referrer-Poli- 
cy, Feature- Policy. % o a 

“countriesnow.space” es un dominio registrado por la organización ProjectilesliO y el desarollador 


Martins Onuoha en Nigeria. El sitio web provee informaciones de localización y generales de los paises a 


través de un archivo JSON, https://countriesnow.space/ y https: //documenter.getpostman.com/view/1134062/ 
T1LJ¡U52?version=latest . 


Revisar la condición de seguridad n.?2 4 (“no enviar parámetros sensibles a través del método get”) de las 
Condiciones mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 2020). 
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ANEXOS - Referencias técnicas 
[1] Datos recolectados y enviados en el auto-diagnóstico 


Aquí se presentan el formulario de auto-diagnóstico y el correspondiente paquete HTTP(S) que transmite 
los datos. 


Formulario web Extracto de la captura HTTP(S) 
https://coronaviruscolombia.gov.co/Covid19 correspondiente 


auto-diagnostico.html (transmisión de estos datos) 
https://api.amplitude.com/ 


POST / HTTP/1.1 
Arles de ¿rtomoas DONWIÓO- 15 A P 
Te haicros uns. pregunios poro dormir lu tico de coronar LOYND 19 Hos t : apl . ampli tude . COM 


Laia 


¿Has eitodo en confocio estrecho [sersane), ein utar eméntos de protección, por más de 
15 mirntos con ura persona con diagedatico confirmodo de CONID-197 0 hos estado 
compartiendo el miseño bagar pos más de 120 minutos con ano persora con dionósbco 
ccfiado de CIDE Content-Lengths+ 1038 


sl 
Ds 


¿Has preterfodo algues de extos rtorras recientemente jor lot últimos 14 dise)? 


Origins BELpPS:3/ WWW: LdocS Com 
Connection: keep-alive 
client=6b2c935524dec5581a8763da80d125a28 
EMERGEN An o e=[([ "device id":"7f40bdf1-4a69-411d-a4b5- 
A a Na 1b06fd838£54", "user id":"7f40bdf1-4a69-411d- 
a4b5-1b06fd838£54","timestamp":1612670121469," 
ERE A ll event 1ar:3 "session 1d":1612669843002,"event_ 
iaamnarós del sentida del ceca type": "Coronavirus test finished”, "version 
mame” nuit ¿"DLateor"s ICO", OS 
tim name"; "EXPStoz", “Os Verston "56, “devices. 
model":"Linux", "language": "en=US", "api 
properties"31 3), event properties": ]"Category":"A 
11","label": "Test finished","userCondition":"Tos, 


Disminución del sentido del gusto","userRi 


skContact": "No", "userDrowned":"No")], “user 


properties*s1),"uurid*: ocobes/e=31 /o-dadU-St1.l- 
sb/dccócizsal", LiDEary"iti name”: ampiitude=73s"¿" 
version”:”2.1.0%))]]4«v=2gupload time=161267012147 
6échecksum=a26a4bbc29aa1545b0f3ede97d9677ae 





n 
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En el formulario se recolectan los datos correspondiente al contacto eventual con una persona infectada con 
COVID-19 y a los síntomas (en el caso de nuestra prueba, Tos y Disminución del sentido del gusto). El extracto 
de captura HTTP(S) muestra que se transmiten vía el protocolo seguro HTTPS (con el método POST). 


El destinatario de estos datos es el sub-dominio “ap!l.amplitude.com” que pertenece a la empresa 
Amplitude que provee servicios de analítica de datos y está ubicada en Estados Unidos”. Esto se explica 
en el anexo siguiente. 


También se puede observar que los datos transmitidos en el paquete y relacionados con el formulario 
("Test finished”, "userCondition":"Tos, Disminución del sentido del gusto""userRiskContact":"No""userDr 
owned":"No") están asociados a varios identificadores de las personas que usan los servicios (device_id, 
user_id y uuid) y a características detalladas del equipo, del sistema operativo y del navegador (lo que 
puede servir para hacer un cálculo de huella o fingerprint del dispositivo e identificarlo de esta forma). 


22 https://amplitude.com 
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[2] De la Presidencia hacia “1doc3” y “amplitude.com” 


La empresa “1Doc3” y su dominio asociado “1doc3.com” aparece directamente en el sitio web cuando, 
después de llenar el formulario de auto-diagnóstico, se hace clic en “Conocer más": 


E DO coronaviruscolombia.qow.co Cor 90% 


Inicio ñcciones del Gobóerno ”  N 


¿Preocupodo por el coronovirus? Todo 





EMFERMEDAD 

Infección por Coronavirus 
También conocido como: 

COMO, Coróra wrus, COVMO-19 COVIDIS Coronavnris 
"' Definición 


Los coranovires formon parte de uno amplía famila de virus que pueden cousor dí 
versos enftermedodes en el ser hienano, desde el resiriodo común hasta el desarrollo 


Además, en el código HTML de la página de auto-diagnóstico, se puede observar que el cuestionario es 
un iframe (un elemento HTML que permite insertar un documento HTML externo) de “1doc3.com”: 


<lframe src="https://ww.1ldoc3.com/web/coronavirustest?no_actions=true" 
frameborder="0" scrolling="vyes" 
onload="Funcional idadesGenerales.resizelframe(this)"  title="Realiza tu auto 


diagnostico del COVID-19"></1frame> 


Es decir que es como si la URL real del cuestionario fuera “https: //www.1doc3.com/web/ 


, ” 
coronavirustest , 


Esto se puede observar también en las capturas HTTP(S) que se analizaron, por ejemplo ésta que es la 
primera originada desde la página: 


https: //www.ldoc3.com/web/coronavirustest?no actions=true 
GET /web/coronavirustest?no_actions=true HTTP/1.1 

Host: www.1ldoc3.com 

Lal 


Referer: https://coronaviruscolombia.gov.co/Covidl19/auto-diagnostico.html 


La conexión con “amplitude.com” se hace cuando hay una solicitud originada por “Idoc3.com” (ver 
Referer) hacia el siguiente recurso javascript: 


13 
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https: //d24n15hnbwhuhn.cloudfront.net/libs/amplitude-2.1.0-min.3s 


GET /1libs/amplitude-2.1.0-min.js HTTP/1.1 

Host: d24n15hnbwhuhn.cloudfront.net 

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:56.0) Gecko/20100101 Firefox/56.0 
Waterfox/56.3 

Accept: */* 

Accept-Language: en-Us,en;a=0.>5 

Accept-Encoding: gz1p, deflate, br 

Referer: https: //www.ldoc3.com/web/coronavirustest?no_actions=true 


Connection: keep-alive 


En el código fuente de este script, se puede observar que se origina en seguida la conexión con una API 
de “amplitude.com”, en el endpoint “api.amplitude,com”: 


ap1Endpoint:"ap1.amplitude.com" 


Desde la ejecución de esta función javascript (amplitude-2.1.0-min.js) se originan varias 
solicitudes hacia “api.amplitude.com”, entre ellas la que se muestra en el anexo 1 y que transmite los 
datos a la empresa Amplitude. 
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[3] Tecnologias usadas 


El hecho de que el servidor web sea un servidor Microsoft Share Point se puede observar en ciertas 
respuestas HTTP del servidor: 

El uso del framework de código abierto Bootstrap, junto con ciertas herramientas, se puede observar 
por ejemplo con la herramienta Wappalyzer23 o directamente en el código fuente HTML de la página: 


i- 

E 
An 

sl 


A a E 


A Pra, de lr rl e 


¡Mco do 





3 
a 
3 
, 


A t di g É tl C al Gone Mea dl Wesero 
Anc rta 
» ps Jara 
e A ban 
ES Dor sorpis 
4 apa Es A 
mn Arola de siviomos COWD-19 Lia rea > ab 
= Te Pare ar An par o E A AA + 
y ¿Hen ettado er portada treo eramos poor lemenvios de protección, por mát dé 
: 15 minutos cor uña pimara e dlognórico carirmads de DOMID-10P a, hoz ertade 
E comperterc el meso pes por als e 137 RC den perla an eri 
pa” com e COD 181 
- L 
eS 5 


LE 


<link rel="stylesheet" href="css/vendor/bootstrap.min.css"/> 


23 https://www.wappalvzer.com 15 
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[4] Cookies instaladas en la página de auto-diagnóstico y otro rastreo 


Aquí se pueden observar las cookies instaladas (en el análisis de febrero 2021): 


Domain Name Contenk Expires HTTP Cinily Secure 
O A4doci.com gal 1 6detebrero de ¿IFAI Ho Ha 
DO .1doc3.com ds _anonymous_dd eilac261555-0804594421b8/6ec [01 TK 22 6 de febrero de 2022 2250043 CG... Ho Ho 
U .1doc3.com amplitude ididoci.com — eyikZxzprWI2CIOdmADOIZGYxLTRANIKEA... 4de febrero de 2091 223500426... Ho Ho 
L] facebook.com fr 0BUOINkyROVgEL.EH7OR..1.0.89H20R.  7demayo de 2021 22:50:41 GMT5 Yes Yes 
DO Adoc3.com gia 641.2.125541057.1612669841 ?defebrero de 2021 2250041 G... Ho Ho 
O .1doc3.com qu (41.2.1470474295 1612665841 Sdefebrero de 2023 22500416... No Ho 
U .1doc3.com aís_group_ld mul 6defebrera de 2022 225007 G... HO Ha 
Ll .1doc3.com ajs user bd rl 6defebrero de 2022 22:50037G... No Ho 
O Adoc3.com undoctres dideucdjipeecakopohuu3iveptrfipbe 7 de abril de 2091 2250010 CMT-5 Wes Yes 
Ol eotorvitocolomigas li IBA A Ha 
Ol coronawiruscolombla.gow.co _ald 641.3,1290119201.1612669930 Tdefebrero de 2021 22500296... No Ho 
L] .coronawiruscolombia.gov.co _qá 641.3,3501950024, 1612669830 6defebrero de 2073 22:50079G... No Ho 
O coronasiruscolombia.qowco Atend ob session Wes Ha 
O coronariruscolombia.qowco Al end of session Wes Ho 
DU coronawiruscolombla.qov.co Atend of session WES Ho 
L] coronaviruscolombia.gov.co Atend of session Yes Ha 
O coronasiruscolombia.qowco Atend of session mes No 
O coronariruscolombia.qowco Alt end of session Yes No 
DU coronawiruscolombla.qow.co T0ibee912 0120c7c1170f6341725684640450249b17face... Atendof session No Ho 


coronawiruscolombia.qov.o Atendof sesion 





Las cookies con nombre “_ga” y “_sid” son asociadas al servicio Google Analytics y sirven para distinguir 

y rastrear a la persona usuaria24 tanto para el servicio de Google Analytics como para usos publicitarios 

ulteriores. 

Varias de estas cookies tienen características de cookies de rastreo (contienen un identificador, tienen 

una duración de larga vida, la empresa asociada puede hacer rastreo publicitario): 

« cookie “fr” del dominio “facebook.com” ; 

* cookies“ ga” y“_sid” del servicio Google Analytics, asociadas a los dominios “coronavirus.com” y al 
dominio “1doc3.com” ; 

* cookies “ajs_anonymous_id”, “amplitude_id1doc3.com” y “undoctres”. Se puede observar el nombre 
de la primera que contiene “anonymous” y de la segunda que contiene “amplitude”, así haciendo 
otra conexión con la empresa Amplitude. También se puede notar su duración de vida record: ¡hasta 


el 4 de febrero del 2031! 
También se puede observar la instalación de varias “cookies vacías” (sin nombre ni contenido) con 
dominio “coronaviruscolombia.com”. Es bastante raro e incluso pensamos en un error en nuestra 
herramienta de análisis de cookies (Cookie Manager +) pero el análisis de los paquetes HTTP confirma 
su instalación a través de varias instrucciones Set-Cookies, cómo ésta: 
Set-Cookie: ; HttpOnly 


Probablemente era un error técnico. En la verificación más reciente ya no aparecen estas cookies. 


16 24 https://developers.eoogle.com/analytics/deveuides/collection/analyticsi¡s/cookie-usage 
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Finalmente, así no se instalen cookies, se observaron varias solicitudes hacia el dominio publicitario de 
Google “doubleclick.net”, transmitiendo varios identificadores en los parámetros de la URL (entre ellos 
la cookie de Google Analytics): 


https://stats.g.doubleclick.net/j/collect?t=dcsaip=18€ r=38v=18 v=3]876tid=UA- 
248107931=18c1d=1470474299.,1612669841g6710=5260115104g]1d=17/14038068 . 
gid=2125541057.1612669841s% u=aGBAAEACOAAAACT»£z=373993230 


POSI 
/j/collect?t=dcsaip=18 r=38v=18 v=j874tid=UA-48707931-1£cid=1470474299 
¿101260698414 J10=>4601151089310d=17714058068% gid=212>94L1057,. 161206699418 - 
u=aGBAAEACOAAAAC-6€z=373993230 HTTP/1.1 

Host: stats.g.doubleclick.net 

PEN 

Referer: https://www.ldoc3.com/web/coronavirustest?no actions=true 
Content-Type: text/plain 

Content-Length: 0 

Origin: https: //www.ldoc3.com 


Connection: keep-alive 


El Referer muestra que fue originado por el dominio “1doc3.com”. 


Nota: las cookies en rojo son cookies que han sido instaladas y borradas durante el análisis. 
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Mombre * 


Eundacion 


Tips de documanto Número de documenta * 


3 1214567890 


Mumero de celular 


15 7 


Correo ele: 


- a ” "e 
ASA A 


Ingresa una coniraseña * 


ADA 


ppaeno los términos de uo de Coronápp. para contribur a 
Li estrategas de prevención del Gobrerno Colombiano, 
frente al Coronas 
Comuite la política de tratamiento de la información de 
CoranaApp 


Pra 


a Dra rá a rabos 


CoronaApp 


Email 


test4Pkarisma.org.co 


Contraseña 
EPIA 


¿Olvidaste tu contraseña? 





[5] Envio de datos en los formularios de registro, login y reporte 


Solicitud HTTP (S) de envío de datos 


authentication/register 


POST /api/v2.0/authentication/register HTTP/1.1 
Host: («apicovidz.añd. gov. do 

[...] 

Referer: 
https://coronaviruscolombia.dgov.co/Covidl9/ 
coronApp/registro-coronApp.html 

content-type: application/3json 

origin: https://coronaviruscolombia.gov.co 
Content-Length: “703 

Connection: keep-alive 

"document. type":"ce”, "document number"+*"123 
4567890","firstname":"Fundacion","lastname":" 
Karisma","email":"test4fkarisma.org.co", "pas 
sword": "XXXXXX","phone":"XXXXX", "phone area 
code": "97", "recapucha.token":"03AGOaBq46vxXa. | 
fmlkrbombmhrWMKA[...] " ) 


Nota: En la solicitud real los “XXXXXX" (del 


teléfono y del password) no eran ofuscados. 


authentication/login 


POST /api/v2.0/authentication/login HTTP/1.1 
Host: apicaovidZ.and.gov. co 

Ese] 

Content-Length: 5/ 

Connection: keep-alive 


[ "email" :"test4fkarisma.org.co", "password": "XXXXXX") 


Nota: En la solicitud real los “XXXXXX” (del 


password) no eran ofuscados. 








Selecciona los sintomas que presentas: 
E lebre 

Dolor de garganta 

Congestión nasal 
Bios 

Dificultad para respirar 

Patiga 

Escalofrio 

DGiolor de músculos 


Minguno de los anteriores 


Continuar 





Elige las opciones que apliquen en bu caso: 
Estuve en contacto con alguien que tuvo alguno de esos sintomas 
Hice un waje internacional en los ultimos 30 dias 

BjhHice un viaje nacional en los últimos 30 dias 
Soy trabajador de la salud 


Minguna de los anteriores 


Continuar 





Selecciona los sintomas que presentas: 

EGjFicbre mayor a 37,5" 

e] hs reciente o una tos que empeora 
Leve dificultad para respirar 
Dificultad para ponerse de pie 
Marco 
Pérdida del gusto o el olfato 
Diarrea 


Ninguno de los anteriores 


Continuar 





(*) Aquí se ponen sólo una parte de las series de 


preguntas (hay 3 más) 
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ttps: apicovid2.and.gov.co/diagnosis/apil 


v2.0/question 


POST /diagnosis/api/v2.0/question HTTP/1.1 
HOST: 
¡A 


Referer: 


apicovid2..and.gov. co 


Bttps://coronavirusecolombláas,dov.co/Covidl9/ 
coronApp/diagnostico-coronApp.html 

Content-Type: application/problem+3son; 
charset=utf-8 
Authorization: Bearer 
eyJraWQ010iJNa2FMUHEVsVWVFT21gdGRVY1g0VmMybUcl1K2M 
¿RIE SUE TUSAZ2AaUS1LOWUOPS IS ITMmESAYTO Laos] 
Content-Length: 855 

Origin: https://coronaviruscolombia.gov.co 
Connection: keep-alive 

"fecha": "16/02/2021. 15:18:46", "diagnostico": 
"16538 9t9=161056=4712-a71t5-=20bed0922462d", "La 
"GOZO ZoOLt4crLIibs0D0D0LA7TLLFE"S "pre 
tidad“: *"seda60>60=91b2-147da=9%eT0= 
30ca29%b98add”,”“respuestas”: 
["*"450de030-b9220-=4192=be81- 
0búbz2lLlaertsS6L1*"”, "“asesdoeer=9334-428/=80cd=- 
al63381L1te08”] +, “1d”: "cdbescs14-ad/d-4r05= 
9Bbb6->-bcde dadas frcd”, “respuestas”: [ “adas 
6e37-0c2d-4776-8fee-0e760f8190f8”]), 

Visa] 

: [“f4ca08c5-cdd9-4cbh2-8a71-634e0a39%b3aa”])]) 


usuario" 


guntas”: 


FF>+*+a+ 
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Datos del viaje 


Fecha de vuelo 


12-85-2021 € 


Aerolinea 


Wiva Alr 


Múmero de vuelo 


vH301 


Tipo de vuelo 


Internacional 


Mo. silla 


5A 


Continuar 





v1.0/travel/createtravelrecord 


POST 
/diagnosis/api/vl1.0/travel/createtravelrecord 
HTTP/1.1 

Host: apicovid2.and.gov.co 

User-Agent: Mozilla/5.0  (X11; Linux x86 64; 
rv:56.0) Gecko/20100101 EFlrefox/56.0 

Accept: */* 

Accept-Language: en-Us,en;q=0.5 

Accept-Encoding: gzip, deflate, br 

Referer: 
https:i//coronaviruscolombiá,.gov.co/Covidl9/ 
coronApp/diagnostico-coronApp.html 

Content-Type: application/problem+3son; 
charset=utf-8 

Authorization: Bearer eyJraWQi0 

les ] 

Content-Length: 170 

OPLOLNS 

https://coronaviruscolombia.gov.co 

Connection: keep-alive 


(CU ETadSport, mode. 10": La? 


1d”:”167,”company name”:””,“ship”:"VH301",“seat 
EN 14 


toba”, us domestic ctalse, Lravel date": "2021= 


Se puede observar que en los tres casos los datos personales se envían con el protocolo seguro HTTPS 
y con el método POST. Para los cuestionarios de salud y riesgos frente al COVID-19, se observa la trans- 
misión de un token de autenticación (Authorization: Bearer) y las respuestas a las preguntas 
se hace en una forma codificada o cifrada (por ejemplo: "respuestas": ["450de030-b920-4192- 
be81-0b0b21lae7361","a3e3d8ef-98e4-4287-80cd-al633817fe08"]) excepto en el último for- 
mulario. Son buenas medidas desde el punto de vista de la seguridad que corrigen vulnerabilidades que 
Fundación Karisma había observado en su primer análisis de CoronApp_Colombia. 
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[6] Correo de verificación y fuga de datos hacia Google y CountriesNow 


Después de hacer el proceso de registro uno recibe este correo de confirmación de parte de la Agencia 
Nacional Digital (“soporteWand.gov.vo”). Es necesario hacer clic en el botón “Confirmar Correo” para 
validar el proceso y activar la cuenta de CoronApp_Colombia para hacer el registro y poder generar un 
código OR. 


soportedband.gov.co 1r % Responder "RR 


to Werlficación de correo - Coronapp WEB 


sr testarmkarisma.org.co mr 


¡Hola! 


Te enviamos este correo para continuar con tu proceso de generación de tu 
GR. 


Verifica tu correo electrónico aquí: 


5i no has realizado esta solicitud, por favor, ignora este mensaje. 


(8 
| ul 
y 
CoronáÁpp 
Colombia 


No respondas este coreo electrónico 


En nuestra prueba, el botón “Confirmar Correo” apuntaba a este link: 
https://coronaviruscolombia.gov.co/Covidl9/coronApp/registro-coronApp.html?token=1602 
2021fd37'7eca8a8f4d64afacabdda1f6e683s5semail=test4%540karisma.org.co 


El link tiene entre sus parámetros un token junto con la dirección de correo”. Al hacer clic en este link, 
estos datos se van a transmitir al servidor web con el método GET. Es una mala práctica desde el punto 
de vista de la seguridad digital y en este caso, la consecuencia es que estos datos se transmiten a dos 
dominios externos (presentes en la página web de llegada) vía la cabecera Referer: “google.com” (pre- 
sente en la página por el uso de su servicio RECPATCHA) y “countriesnow.space”. 


Esto se puede observar en los siguientes paquetes HTTP(S) hacia estos dos dominios: 


25 “%40” corresponde al carácter “0” en codificación ASCIH/HTML. 21 
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https: //www.google.com/recaptcha/api.js?onload=o0onloadCallbackérender=explicit 


GET /recaptcha/api.js?onload=onloadCallbacksrender=explicit HTTP/1.1 

Le] 

Referer: 
https://coronaviruscolombia.gov.co/Covidl9/coronApp/registro-coronApp.html?toke 
n=16022021f£d37'7eca8a8f4d64afacabdda1f6e683s£email=test4%540karisma.org.co 

Cookie:  GRECAPTCHA=09AGR3LZNO0Ex7BJ39lay6Sx2F2Dnf£5 wHUdaoV-GePZeKBRuwy6Zquyg'70Mr 
T7/awICT14PB3Ag6G]Pk6TZUXul-xAk 


Connection: keep-alive 


https://countriesnow.space/api/v0.1l/countries/codes 


GET /api/v0.1/countries/codes HTTP/1.1 

Host: countriesnow.space 

aires] 

Referer: 
https://coronaviruscolombia.gov.co/Covidl9/coronApp/registro-coronApp.html?toke 
n=16022021f£d37'7eca8a8f4d64afacabdda1f6e683s£email=test4340karisma.org.co 

Origins attpst//coroóonavicruscoLlombia.dOY.00 

Connection: keep-alive 


Tf-None-Match: W/"33a9-acl1BE7bKi1E21KAkbwchP+RL1E3w" 
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[7] Cookies instaladas durante y después del registro a CoronApp_Colombia Web 


Durante el registro a la Coronapp_Colombia se instalan estas dos cookies: 


Domain Name Content Expires HTTP Only 
DO ¡google.com GRECAPTEHA 0SACGRILINOE7BjSlayó5x2F2¿Dnf5 wHUdeoW-GePZeKB... 15 de agosto de 2021 15:10:59 0... Yes 





coronaviruscolombla.qov.co TS0tbee912 0120c7c117ca94b77dbbcod8ecc75b8435e647bf3653d265... Atend of sesslon 


La primera cookie (“_GRECAPTCHA”), con dominio “google.com” contiene un número de identificación (a 
priori en Base64) y tiene un fecha de expiración de un año, que es mucho más de lo necesario para su 
finalidad inicial (protección contra los robots durante la sesión). Tiene las características de una cookie 
de rastreo y puede ser usada por Google con este fin, más allá de la finalidad de seguridad. 


La segunda cookie, interna, (“TSO1bee912”) es una cookie de sesión y por lo tanto no implica rastreo. 
Tiene las características de las cookies de un servidor de balanceo de carga (load balancing) de tipo “F5 
BIG-IP ASM” con una versión 11.4.0 o posterior”. Esta cookie tiene finalidades de seguridad y es por lo 
tanto sensible”. Sin embargo, no tiene habilitados los atributos de seguridad HTTPOnly y Secure. Sería 
necesario hacerlo, siguiendo las recomendaciones de la empresa F5% y las recomendaciones de MinTIC 
para sitios web del Estado?. 


Además, después del proceso de verificación y de conexión, se instala otra cookie llamada “_cfduid” y 
del dominio “countriesnow.space” ya mencionado: 


set=co0kie:  Ciduld=d18078td21dale49537122ec/460bde/eU96l6135067207 expures=Thu, 
18-Mar-21 20:18:40 GMT; path=/; domain=.countriesnow.space; HttpOnly; 


Esta cookie también se debe al hosting del servidor web de este dominio en CloudFlare y tiene finalidades 
técnicas a pesar de su apariencia de cookie de rastreo”. 


26 “BIG-IP ASM 11.4.0 and later: The ASM Main cookie name structure contains eight hexadecimal characters (TSxxx0000x). The first two cha- 
racters are the revision number and the remaining six characters represent the name of the active security policy”, Fuente: https: //support. 
f5.com/csp/article/K6850 

27 https: //support.f5.com/csp/article/K6850 

28 Ver aquí en el sitio del constructor para la proceso de configuración: https: //support.f5.com/csp /article/K13787 

29 Condiciones mínimas técnicas y de seguridad digital del MinTIC (Anexo 3 de la Resolución MinTIC 1519 del 2020). 

30  https://blog.cloudflare.com/deprecatine-cfduid-cookie 23 
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